Pour gérer vos consentements :
Categories: CyberguerreSécurité

SolarWinds : quand des logiciels légitimes servent de backdoors

Vous utilisez la suite logicielle Orion de SolarWinds pour gérer vos infrastructures IT ? Faites preuve de vigilance. Ni le CERT français, ni son homologue européen n’a émis d’alerte dans ce sens. Pour autant, la vigilance en question semble se justifier au vu des alertes qui remontent outre-Atlantique.

Sur place, le département de la Sécurité intérieure des États-Unis a émis, ce dimanche, une directive d’urgence. L’essentiel des agences fédérales sont priées d’éteindre – ou de déconnecter de leur réseau – toutes leurs installations d’Orion à partir de la version 2019.4. Elles ont interdiction de procéder à une reconnexion jusqu’à nouvel ordre du gouvernement. Et ont jusqu’à ce lundi minuit (heure du Pacifique) pour rapporter aux autorités d’éventuels indicateurs de compromis.

En toile de fond, un gros problème de sécurité que SolarWinds a reconnu ce dimanche. En l’occurrence, une attaque de type « supply chain ». Elle s’est traduite par l’injection, entre mars et juin derniers, d’un cheval de Troie dans des mises à jour officielles d’Orion.

FireEye évoque de nombreuses victimes, et pas seulement aux États-Unis. L’éditeur mentionne aussi l’Europe, le Moyen-Orient et l’Asie. Il ne précise pas s’il fait lui-même partie des victimes. Mais sa communication le laisse penser, tant il l’inscrit dans la lignée du piratage qui a récemment donné lieu à l’exfiltration des outils de sa Red Team.

Une backdoor pour SolarWinds

Dans les grandes lignes, l’attaque s’appuie sur une porte dérobée mise en place par détournement de Core Business Layer, un plug-in Orion qui dispose de capacités de communication HTTP. L’ensemble du trafic réseau engendré dans ce cadre utilise un canal légitime : le programme d’amélioration d’Orion. Idem pour les informations récupérées sur le parc informatique : elles sont intégrées dans des fichiers de configuration.

Noms d’hôtes, adresses IP… Les assaillants – qu’on dit liés à un État ; possiblement la Russie – tentent de se fondre au maximum dans l’environnement de leurs cibles. Certains éléments peuvent toutefois les trahir, note FireEye. Entre autres, l’examen des certificats SSL RDP et des sessions SMB.

SolarWinds prévoit, pour ce mardi, un patch (2020.2.1 HF2) à double effet. D’une part, il remplacera le plug-in malveillant. De l’autre, il apportera une couche de sécurité supplémentaire. L’éditeur affirme que la faille ne s’applique ni à ses autres produits, ni à son activité MSP.

Les clients que SolarWinds met en avant sur son site sont basés très majoritairement aux États-Unis. Les principales exceptions en Europe évoluent dans le secteur des télécoms. Parmi eux, Ericsson, Swisscom et Telecom Italia.

Illustration principale © rawpixel.com via Adobe Stock

Recent Posts

GenAI : le Royaume-Uni poursuit ses investigations sur les partenariats de Microsoft et Amazon

L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…

22 heures ago

Clients de VMware : les raisons de la colère

Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…

23 heures ago

Laurent Carlier – BNP Paribas Global Market : « L’IA permet de modéliser des relations plus complexes, mais il faut rester prudent »

La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…

24 heures ago

Open Compute Project : les datacenters partagent des bonnes pratiques pour l’environnement

OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…

2 jours ago

Phi-3-mini : Microsoft lance son premier SLM

Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…

2 jours ago

Apple : l’UE serait prête à approuver son plan pour ouvrir l’accès NFC

La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…

2 jours ago